💬 Эксперты: закон о персональных данных требует модернизации и гармонизации с GDPR.
В мире сложились три правовых модели использования личной информации граждан. Наиболее эффективным признан Общий регламент защиты персональных данных (ПД) для Евросоюза – GDPR. У России есть все шансы гармонизировать нормативно-правовые акты в сфере ПД с регламентом ЕС. Для этого потребуется модернизация законов, считают эксперты.
🔵 Ощутимая разница.
В России судят за незаконное использование персональных данных в основном физических лиц, а не компании. Большинство преступников похищало информацию с места своей работы – офисов и салонов операторов сотовой связи. Согласно исследованию сервиса разведки утечек данных DLBI, число выявленных преступников у операторов выросло с 44 до 67% в 2020 году относительно 2019-го.
За рубежом надзорные органы наносят более существенный урон нарушителям закона о персональных данных. Так, в апреле 2020 года федеральный суд США подтвердил решение Федеральной комиссии по торговле (ФКТ) о взыскании с Facebook штрафа в размере 5 млрд долларов за передачу ПД сторонней фирме для использования в маркетинговых целях. В конце 2020 года ирландская Комиссия по защите данных (DPC) оштрафовала компанию Twitter на 450 тыс. долларов за утечку личной информации пользователей в открытый интернет-доступ.
С 2018 года в ЕС за широкий спектр нарушений общего регламента по защите ПД (GDPR) наложены штрафы на сумму более 275 млн евро.
Если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до 300 тыс. рублей, то в ЕС штрафы могут достигать 4% от годового оборота компании.
🔵 Сходства и различия законов о ПД в России и ЕС.
По сути и по реализации закон «О персональных данных» (ФЗ-152) и GDPR похожи. Но GDPR имеет лучшую прикладную проработку.
«То, что у нас прописано в требованиях профильного регулятора, у них – в основном законе. Это правильный подход. Потому что далеко не каждый оператор ПД дойдет до регулятора и его требований, которые ссылаются на некий правовой документ. Стоит облегчить понимание закона операторами, чтобы увеличить шансы на его соблюдение», – предлагает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.
🔵 Между тремя китами.
В США нет федерального регулирования ПД, но наибольшую популярность получил закон штата Калифорния (California Consumer Privacy Act, CCPA), вступивший в силу в 2020 году. Основное содержание – права субъектов, в том числе на отказ от продажи своих ПД.
«В соответствии с CCPA к ПД относятся, как и в России, любые данные, позволяющие идентифицировать конкретного человека: биометрия, геолокация, история интернет-просмотров, а также информация о трудоустройстве или образовании», – пояснила Ольга Васильева (Финансовый университет при Правительстве РФ).
Говоря о китайском законодательстве, эксперт отметила тенденцию вмешательства государства во все сферы жизни.
Однако КНР в области защиты ПД стремится следовать по пути Европейского закона GDPR. Вырабатываются аналогичные стандарты и механизмы по защите ПД.
🔵 В поисках общего знаменателя.
Готово ли российское законодательство о ПД к унификации с GDPR для эффективной работы компаний на мировом рынке и борьбы с утечками?
А.Парфентьев считает, что пока не готово. Кроме того, ни тот ни другой закон не формирует реальную потребность для борьбы с утечками. «На сегодня 152-ФЗ компаниям проще не выполнять, так как штрафы смешные. GDPR построен на принципах честности и открытости – что, в свою очередь, не вписывается в ограничительные практики, характерные для методологии защиты от утечек. Также стоит учитывать, что 152-ФЗ требует доработки и дополнений, чтобы соответствовать реальному положению дел», – пояснил эксперт.
О.Васильева считает, что унификация российского законодательства и GDPR возможна и реальна, поскольку идёт анализ правовой деятельности западных коллег по защите ПД, а противоречия можно грамотно устранить.
В мире сложились три правовых модели использования личной информации граждан. Наиболее эффективным признан Общий регламент защиты персональных данных (ПД) для Евросоюза – GDPR. У России есть все шансы гармонизировать нормативно-правовые акты в сфере ПД с регламентом ЕС. Для этого потребуется модернизация законов, считают эксперты.
🔵 Ощутимая разница.
В России судят за незаконное использование персональных данных в основном физических лиц, а не компании. Большинство преступников похищало информацию с места своей работы – офисов и салонов операторов сотовой связи. Согласно исследованию сервиса разведки утечек данных DLBI, число выявленных преступников у операторов выросло с 44 до 67% в 2020 году относительно 2019-го.
За рубежом надзорные органы наносят более существенный урон нарушителям закона о персональных данных. Так, в апреле 2020 года федеральный суд США подтвердил решение Федеральной комиссии по торговле (ФКТ) о взыскании с Facebook штрафа в размере 5 млрд долларов за передачу ПД сторонней фирме для использования в маркетинговых целях. В конце 2020 года ирландская Комиссия по защите данных (DPC) оштрафовала компанию Twitter на 450 тыс. долларов за утечку личной информации пользователей в открытый интернет-доступ.
С 2018 года в ЕС за широкий спектр нарушений общего регламента по защите ПД (GDPR) наложены штрафы на сумму более 275 млн евро.
Если в России по разным статьям уголовного и гражданского кодекса преступники заплатят до 300 тыс. рублей, то в ЕС штрафы могут достигать 4% от годового оборота компании.
🔵 Сходства и различия законов о ПД в России и ЕС.
По сути и по реализации закон «О персональных данных» (ФЗ-152) и GDPR похожи. Но GDPR имеет лучшую прикладную проработку.
«То, что у нас прописано в требованиях профильного регулятора, у них – в основном законе. Это правильный подход. Потому что далеко не каждый оператор ПД дойдет до регулятора и его требований, которые ссылаются на некий правовой документ. Стоит облегчить понимание закона операторами, чтобы увеличить шансы на его соблюдение», – предлагает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.
🔵 Между тремя китами.
В США нет федерального регулирования ПД, но наибольшую популярность получил закон штата Калифорния (California Consumer Privacy Act, CCPA), вступивший в силу в 2020 году. Основное содержание – права субъектов, в том числе на отказ от продажи своих ПД.
«В соответствии с CCPA к ПД относятся, как и в России, любые данные, позволяющие идентифицировать конкретного человека: биометрия, геолокация, история интернет-просмотров, а также информация о трудоустройстве или образовании», – пояснила Ольга Васильева (Финансовый университет при Правительстве РФ).
Говоря о китайском законодательстве, эксперт отметила тенденцию вмешательства государства во все сферы жизни.
Однако КНР в области защиты ПД стремится следовать по пути Европейского закона GDPR. Вырабатываются аналогичные стандарты и механизмы по защите ПД.
🔵 В поисках общего знаменателя.
Готово ли российское законодательство о ПД к унификации с GDPR для эффективной работы компаний на мировом рынке и борьбы с утечками?
А.Парфентьев считает, что пока не готово. Кроме того, ни тот ни другой закон не формирует реальную потребность для борьбы с утечками. «На сегодня 152-ФЗ компаниям проще не выполнять, так как штрафы смешные. GDPR построен на принципах честности и открытости – что, в свою очередь, не вписывается в ограничительные практики, характерные для методологии защиты от утечек. Также стоит учитывать, что 152-ФЗ требует доработки и дополнений, чтобы соответствовать реальному положению дел», – пояснил эксперт.
О.Васильева считает, что унификация российского законодательства и GDPR возможна и реальна, поскольку идёт анализ правовой деятельности западных коллег по защите ПД, а противоречия можно грамотно устранить.